حمايه حساباتك مسؤول عام في Office 365

هام: تمت ترجمة هذه المقالة ترجمة آلية، راجع إقرار إخلاء المسؤولية. يرجى الاطلاع على النسخة الإنجليزية من هذه المقالة. هنا للرجوع إليها.

ملخص: حمايه حساباتك المسؤول العام ب# اتباع هذه الخطوات.

ل# حمايه الاشتراك في Office 365 افضل من هجمات استنادا الي تسويه حساب المسؤول العام، يجب عليك القيام ما يلي الان:

  1. انشاء حسابات مسؤول عام في Office 365 مخصصه و# استخدامها فقط عند الضروره.

  2. تكوين مصادقه متعدده العوامل ل# حسابات مسؤول عام في Office 365 المخصصه و# استخدم نموذج اقوي المصادقه الثانوي.

  3. تمكين و# تكوين "امان تطبيق Office 365 السحابه" ل# مراقبه نشاط حساب المسؤول العمومي المشتبه بها.

انتهاكات الامان من اشتراك Office 365، ب# ما في ذلك معلومات حصد و# هجمات التصيد الاحتيالي، تتم عاده قبل تسويه بيانات اعتماد حساب المسؤول العمومي في Office 365. الامان في مجموعه النظراء مشاركه بين انت و Microsoft:

  • تم انشاء خدمات Microsoft السحابيه علي اساس الثقه و# الامان. توفر Microsoft عناصر التحكم ب# الامان و# الامكانيات ل# المساعده في حمايه البيانات و# التطبيقات.

  • انك تملك بياناتك و# الهويات و# مسؤوليه حمايه عليها و# امان الموارد المحليه و# امان مكونات مجموعه النظراء يمكنك التحكم.

ل# حمايه نفسك، يجب وضع في مكان عناصر التحكم و# القدرات التي يوفرها Microsoft.

ملاحظة: علي الرغم من انه تم تركز هذه المقاله علي حسابات المسؤول العام، يجب ايضا مراعاه ما اذا كان اضافيه حسابات مع نطاق واسع اذونات ل# الوصول الي البيانات في اشتراكك، مثل مسؤول eDiscovery او الامان او التوافق يجب ان تكون حمايتها حسابات المسؤول، ب# الطريقه نفسها.

المرحله الاولي. انشاء حسابات مسؤول عام في Office 365 مخصصه و# استخدامها فقط عند الضروره

هناك بعض نسبيا المهام الاداريه، مثل تعيين ادوار ل# حسابات المستخدم التي تتطلب امتيازات المسؤول العام. وب# التالي، بدلا من استخدام حسابات المستخدمين اليوميه التي تم تعيين دور المسؤول العام، قم ب# ما يلي مباشره:

  1. تحديد مجموعه حسابات المستخدم التي تم تعيينها دور المسؤول العام. يمكنك القيام ب# ذلك في Office 365 PowerShell ب# استخدام هذا الامر:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. تسجيل الدخول الي اشتراك Office 365 ب# استخدام حساب مستخدم الذي تم تعيين دور المسؤول العام.

  3. يمكنك انشاء واحد علي الاقل و# حتي ك# حد اقصي من خمسه مخصصه ل# مسؤول عام حسابات المستخدمين. استخدام كلمات مرور قويه 12 الاقل الاحرف طويل تخزين كلمات المرور ل# حسابات جديده في موقع امن.

  4. تعيين دور المسؤول العام ل# كل حسابات المستخدم المسؤول العمومي مخصص.

  5. تسجيل الخروج من Office 365.

  6. سجل دخولك ب# استخدام احد حسابات المستخدمين مسؤول عمومي مخصص جديد.

  7. ل# كل حساب مستخدم موجود التي قد تم تعيين دور المسؤول العام من الخطوه 1:

    • قم ب# ازاله دور المسؤول العام.

    • تعيين ادوار المسؤول الي الحساب الذي المناسبه ل# مهمه وظيفه و# المسؤوليه هذا المستخدم. ل# الحصول علي مزيد من المعلومات حول مختلف ادوار المسؤول في Office 365، راجع ادوار المسؤول حول Office 365.

  8. تسجيل الخروج من Office 365.

يجب ان تكون النتيجه التاليه:

  • حسابات المستخدمين فقط في اشتراكك التي تحتوي علي دور المسؤول العام هي مجموعه حسابات مسؤول عمومي مخصص جديد. التحقق من ذلك ب# استخدام الامر PowerShell التالي في موجه الاوامر Windows Azure Active Directory النمطيه ل Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • تحتاج كل حسابات المستخدمين اليوميه الاخري التي اداره اشتراكك ادوار المسؤول المعينه التي تقترن ب# مسؤوليات المهام الخاصه بهم.

من هذه اللحظه ف# صاعدا، يمكنك تسجيل الدخول ب# استخدام حسابات مسؤول عمومي مخصص فقط ل# المهام التي تتطلب امتيازات المسؤول العام. يجب ان تتم اداره Office 365 اخري عن طريق تعيين ادوار اداره اخري الي حسابات المستخدمين.

ملاحظة: نعم، يتطلب ذلك تنفيذ خطوات اضافيه ل# تسجيل الخروج ك# حساب المستخدم اليوميه و# تسجيل الدخول الي حساب مسؤول عام مخصص. و# لكن هذا فقط يجب ان تتم احيانا ل# عمليات المسؤول العام. خذ في الاعتبار التي استرداد الاشتراك في Office 365 بعد انتهاك حساب مسؤول عام يتطلب الخطوات المزيد.

المرحله الثانيه. تكوين مصادقه متعدده العوامل ل# حسابات مسؤول عام في Office 365 المخصصه و# استخدم نموذج اقوي المصادقه ثانوي

يتطلب مصادقه متعدده العوامل (MFA) ل# حسابات المسؤول العمومي الحصول علي معلومات اضافيه الي جانب اسم الحساب و# كلمه المرور. يعتمد office 365 التحقق من الصحه الطرق التاليه:

  • مكالمة هاتفية

  • رمز المرور الذي تم إنشاؤه عشوائياً

  • بطاقة ذكية (ظاهرية أو فعلية)

  • جهاز المقاييس الحيوية

اذا كنت يمكن ل# الشركات صغيره التي كانت تستخدم حسابات المستخدم التي تم تخزينها في السحابه (نموذج الهويه سحابه) فقط، قم ب# ما يلي فورا ب# تكوين MFA استخدام اجراء مكالمه هاتفيه او رمز تحقق رساله نصيه ارسال الي هاتف ذكي:

  1. تمكين MFA.

  2. قم ب# اعداد التحقق من الخطوه 2 ل Office 365 ل# تكوين كل مخصصه حساب المسؤول العمومي ل# مكالمه هاتفيه او رساله نصيه ك# اسلوب التحقق من الصحه.

اذا كنت مؤسسه كبيره التي كانت تستخدم نماذج هويه Office 365 المتزامنه او المتحده، ف# لديك مزيد من الخيارات التحقق من الصحه. اذا كنت تملك البنيه الاساسيه ل# الامان مسبقا في مكانها ل# اسلوب مصادقه ثانوي اقوي، قم ب# ما يلي مباشره:

  1. تمكين MFA.

  2. قم ب# اعداد التحقق من الخطوه 2 ل Office 365 ل# تكوين كل مخصصه حساب المسؤول العام ل# طريقه التحقق من الصحه المناسبه.

اذا لم يكن البنيه الاساسيه ل# الامان ل# طريقه اقوي المطلوب التحقق من الصحه في مكان و# يعمل ل Office 365 MFA، نوصي ب# شده ب# تكوين حسابات مسؤول عمومي مخصص مباشره مع MFA استخدام اجراء مكالمه هاتفيه او رساله نصيه رمز التحقق من الرسائل المرسله الي هاتف ذكي ل# حسابات المسؤول العام ك# قياس امان مؤقته. لا تترك حساباتك مسؤول عمومي مخصص دون الحمايه الاضافيه التي يوفرها MFA.

ل# الحصول علي مزيد من المعلومات، راجع التخطيط ل# مصادقه متعدده العوامل ل# عمليات نشر Office 365.

ل# الاتصال ب# خدمات Office 365 مع MFA و PowerShell، راجع هذه المقاله.

المرحله الثالثه. تمكين و# تكوين "امان تطبيق Office 365 السحابه" ل# مراقبه نشاط حساب المسؤول العمومي مريبه

امان تطبيق سحابه office 365 يسمح لك ب# انشاء نهج ب# حيث يتم اعلامك سلوك المريبه في اشتراكك. ضمن Office 365 E5 امان تطبيق مجموعه النظراء، و# لكن هي ايضا متوفره ك# خدمه منفصله. علي سبيل المثال، اذا لم تكن Office 365 E5، يمكنك شراء التراخيص "امان تطبيق مجموعه النظراء" فرديه ل# حسابات المستخدم التي تم تعيينها مسؤول عمومي و# مسؤول الامان و# ادوار المسؤول التوافق.

اذا كان لديك "امان تطبيق مجموعه النظراء" في الاشتراك في Office 365، قم ب# ما يلي مباشره:

  1. سجل دخولك الي مدخل Office 365 ب# واسطه حساب التي تم تعيين دور مسؤول الامان او التوافق.

  2. تشغيل الامان تطبيق Office 365 مجموعه النظراء.

  3. انشاء نهج الكشف عن أنومالي ب# حيث يتم اعلامك ب# البريد الكتروني نقوش الشاذه متميزين نشاط الاداريه.

ل# اضافه حساب مستخدم ل# دور مسؤول الامان، الاتصال ب Office 365 PowerShell ب# استخدام حساب مسؤول عام مخصص و MFA، ادخل اسم المستخدم الاساسي حساب المستخدم، ثم قم ب# ما يلي اوامر:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

ل# اضافه حساب مستخدم ل# دور المسؤول التوافق، قم ب# ملء اسم المستخدم الاساسي حساب المستخدم، ثم قم ب# تشغيل الاوامر التاليه:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

الحمايه اضافيه ل# حسابات المسؤول العام

بعد استخدام المراحل 1 الي 3، هذه الطرق الاضافيه ل# التاكد من ان حساب المسؤول العمومي و# التكوين التي تقوم بها في استخدامه، يتم امنا ب# قدر الامكان.

الوصول الي متميزين محطه العمل (بو)

ل# التاكد من تنفيذ المهام ذو الامتيازات عاليه المستوي امنا ب# قدر الامكان، استخدم باو. يتم بو كمبيوتر مخصص الذي يستخدم فقط ل# مهام التكوين حساسه، مثل تكوين Office 365 الحاجه الي حساب مسؤول عام. ل# انه لا تستخدم هذا الكمبيوتر ل# استعراض انترنت او بريد الكتروني يوميا، يستحسن محمي من هجمات انترنت و# المخاطر المحتمله.

ل# الحصول علي ارشادات حول كيفيه اعداد باو، راجع http://aka.ms/cyberpaw.

اداره الهويات azure AD المميز (PIM)

بدلا من حساباتك المسؤول العمومي نهائيا تعيين دور المسؤول العام، يمكنك استخدام Azure AD PIM ل# تمكين التعيين عند الطلب، و# في الوقت دور المسؤول العام عند الحاجه.

علي كلمات اخري، بدلا من حساباتك المسؤول العام ك# مسؤول دائم، يتم، ف# انها تصبح مؤهلا المسؤولين. دور المسؤول العام غير نشط حتي شخص ما يحتاج. ثم اكمال عمليه تنشيط ل# اضافه دور المسؤول العام ل# حساب المسؤول العمومي ل# عدد محدد مسبقا من الوقت. عند انتهاء الوقت، ازاله PIM دور المسؤول العام من حساب مسؤول عام.

استخدام PIM و# تقليل هذه العمليه الي حد كبير مقدار الوقت الذي يتم عرضه ل# هجوم و# استخدامه من قبل المستخدمين ضاره حساباتك المسؤول العام.

ل# الحصول علي مزيد من المعلومات، راجع اداره الهويات "تكوين Azure AD متميزين".

ملاحظة: يتوفر PIM مع Azure Active Directory Premium P2، الذي يتم تضمينه مع امكانيه التنقل Enterprise + E5 الامان (EMS)، او يمكنك شراء تراخيص الفرديه ل# حسابات المسؤول العام.

معلومات و# حدث اداره (سيم) برامج الامان ل# التسجيل في Office 365

يقوم البرنامج سيم و# خادم يقوم ب# تشغيل فوقه تحليل في الوقت الحقيقي ل# تنبيهات الامان و# الاحداث التي تم انشاؤها عن طريق التطبيقات و# اجهزه الشبكه. ل# السماح ل# خادم سييم ل# تضمين تنبيهات الامان Office 365 و# الاحداث في وظائف التقارير و# التحليل، التكامل التاليه في نظام سييم:

الخطوه التاليه

راجع افضل ممارسات الامان ل Office 365.

ملاحظة: إقرار إخلاء المسؤولية للترجمة الآلية: تمت ترجمة هذه المقالة بواسطة نظام كمبيوتر دون تدخل العامل البشري. توفر Microsoft هذه الترجمات الآلية لمساعدة المستخدمين الذين لا يتحدثون الإنجليزية على استخدام منتجات Microsoft، وخدماتها، وتقنياتها والاستمتاع بها. قد تحتوي هذه المقالة على أخطاء في المفردات، أو بناء الجملة، أو القواعد نظرًا لترجمتها آليًا.

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Office Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×